Comunicado sobre MGM Resorts International: Aclaración de los hechos 14/09/2023, 22:46:49
Hemos realizado múltiples intentos para comunicarnos con MGM Resorts International, “MGM”. Según lo informado, MGM apagó las computadoras dentro de su red en respuesta a nuestra actividad.
Nuestra intención es aclarar la situación. Antes de la interrupción inicial de su infraestructura por parte de sus equipos internos, NO se desplegó ningún ransomware.
MGM tomó la precipitada decisión de apagar todos sus servidores Okta Sync después de descubrir que habíamos estado monitoreando sus servidores Okta Agent y obteniendo contraseñas de personas cuyas contraseñas no se podían descifrar a partir de los volcados de hash del controlador de dominio. Esto resultó en el bloqueo completo de su Okta.
Mientras tanto, manteníamos privilegios de superadministrador en su Okta, junto con privilegios de Administrador Global en su inquilino de Azure. Intentaron expulsarnos después de descubrir que teníamos acceso a su entorno de Okta, pero las cosas no salieron según lo planeado.
El domingo por la noche, MGM implementó restricciones condicionales que prohibieron todo acceso a su entorno de Okta (MGMResorts.okta.com) debido a capacidades administrativas insuficientes y protocolos de respuesta a incidentes débiles.
Su red había estado infiltrada desde el viernes. Debido a la falta de comprensión de sus ingenieros de red sobre el funcionamiento de la red, el acceso a la red fue problemático el sábado. Luego tomaron la decisión de “desconectar” componentes aparentemente importantes de su infraestructura el domingo.
Después de esperar un día, lanzamos con éxito ataques de ransomware contra más de 100 hipervisores ESXi en su entorno el 11 de septiembre, después de intentar contactarnos sin éxito. Esto ocurrió después de que trajeran a empresas externas para ayudar a contener el incidente.
En nuestra conversación con la víctima de MGM, un usuario apareció de repente unas horas después de que se implementara el ransomware. Como no respondieron a nuestros correos electrónicos con el enlace especial proporcionado (para evitar que otros miembros del personal de TI leyeran las conversaciones), no pudimos confirmar si el usuario en la conversación tenía autorización de la dirección de MGM para estar presente.
Publicamos un enlace para descargar todos los materiales exfiltrados hasta el 12 de septiembre en la misma conversación el 13 de septiembre. Dado que el usuario en la conversación no se originó a partir del correo electrónico sino del aviso del hipervisor, como se indicó anteriormente, no pudimos confirmar si tenían permiso para estar allí.
Para evitar fugas de datos innecesarias, agregamos una contraseña al enlace de datos que les proporcionamos. Dos contraseñas pertenecientes a ejecutivos de alto rango se combinaron para crear la contraseña. Esta contraseña se les indicó claramente con asteriscos en la mayoría de los caracteres de la contraseña, para que las personas autorizadas pudieran ver los archivos. También se proporcionaron los identificadores de empleado de los dos usuarios para fines de identificación.
El usuario ha estado ingresando regularmente a la sala de chat cada varias horas, permaneciendo durante algunas horas y luego saliendo. Hace aproximadamente siete horas, informamos al usuario de la sala de chat que, si no respondía antes de las 11:59 PM, hora estándar del este, publicaríamos una declaración. Incluso después de que pasara el plazo, continuaron visitando sin responder. No estamos seguros de si esta actividad está automatizada, pero es probable que sea una persona quien la está verificando.
En este momento, no podemos confirmar si se ha exfiltrado información de identificación personal (PII). Si no podemos llegar a un acuerdo con MGM y establecemos que hay información de PII en los datos exfiltrados, tomaremos los primeros pasos para notificar a Troy Hunt de HaveIBeenPwned.com. Él es libre de divulgarlo de manera responsable si así lo decide.
Creemos que MGM no estará dispuesto a llegar a un acuerdo con nosotros. Simplemente observe su comportamiento de insider trading. ¿Creen que esta empresa se preocupa por su privacidad y bienestar mientras visitan uno de sus resorts?
No estamos seguros acerca de los demás, pero está claro que esta empresa ha tardado cinco años en poner sus asuntos en orden. Otras opciones de alojamiento, incluidos casinos, seguramente están abiertos y encantados de ayudarle.
En este punto, no tenemos más opción que criticar a VX Underground por informar falsamente eventos que nunca ocurrieron. Normalmente consideramos que su información es altamente confiable y oportuna, pero no intentamos manipular las tragamonedas de MGM para que expulsaran dinero, ya que eso no sería beneficioso para nosotros y disminuiría las posibilidades de cualquier tipo de acuerdo.
Los rumores sobre adolescentes de Estados Unidos y el Reino Unido infiltrándose en esta organización siguen siendo solo eso: rumores. Estamos esperando a que estas supuestas firmas de ciberseguridad respetadas que siguen haciendo esta afirmación comiencen a proporcionar pruebas sólidas para respaldarla. Comenzando por las identidades de los actores, ya que están tan bien informados sobre ellos.
La verdad es que a estos especialistas les resulta difícil diferenciar entre las acciones de varios grupos de amenazas, por lo que los han agrupado. Dos errores no hacen un acierto, por lo que optaron por hacer afirmaciones de atribución falsas y luego las filtraron a la prensa cuando aún no pueden confirmar la atribución con un alto grado de certeza después de hacerlo. Las tácticas, procedimientos e indicadores de compromiso (TT) utilizados por las personas a las que culpan de los ataques son conocidos por el público y son relativamente fáciles de imitar para cualquiera.
El grupo de ransomware ALPHV no ha reclamado antes públicamente ni en privado la responsabilidad de un ataque antes de este punto. Antes de esta revelación, empleados insatisfechos o expertos externos en ciberseguridad filtraron rumores de MGM Resorts International. Según divulgaciones no verificadas, los medios de comunicación decidieron falsamente afirmar que habíamos reclamado la responsabilidad del ataque antes de que lo hiciéramos.
Seguimos teniendo acceso a parte de la infraestructura de MGM. Si no se alcanza un acuerdo, llevaremos
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian